Oud lek zet IoT wagenwijd open voor derden

OpenSSH bevat al jaren een lek, dat wordt aangeduid als SSHowDowN Proxy. Dit is een kwetsbaarheid waarvoor patches zijn gemaakt, maar vaak zijn die patches niet aangebracht. "IoT is eigenlijk al 12 jaar potentieel zo lek als een mandje", stellen de onderzoekers.

Bij het onderzoek is gekeken naar de volgende groepen IoT apparaten:

• CCTV-, NVR- en DVR-apparaten (video surveillance)
• Satellietantennes
• Netwerkapparatuur zoals routers, hotspots, WiMax, kabel- en ADSL-modems, etc
• NAS-schijven die verbonden zijn met internet (Network Attached Storage)

Deze lijst is beslist niet uitputtend, er zijn nog meer devices die mogelijk dezelfde kwetsbaarheid bezitten. Wanneer een kwaadwillende zich toegang verschaft tot de devices kan hij of zij er een botnet van maken, maar het is ook mogelijk dat de IoT-onderdelen een aparte functie krijgen. Zoals het aanvallen van de interne netwerken die de verbonden devices hosten.

Internet of unpatchable things

“We zijn aangekomen in een zeer interessante tijd als het gaat om DDoS- en andere web-aanvallen die via het, zoals ik het noem, ‘Internet of Unpatchable Things’ plaatsvinden”, zegt Ory Segal, senior director Threat Research bij Akamai en auteur van het onderzoeksrapport.

“Dagelijks worden nieuwe apparaten verscheept waarin deze kwetsbaarheid zit ingebakken en er is nog geen effectieve manier gevonden om dat probleem op te lossen. We horen al jarenlang verhalen dat het in theorie mogelijk is om IoT-devices in te zetten voor aanvallen. Deze theorie is helaas nu  werkelijkheid geworden", zegt Segal.